Google Cloud Armor セキュリティ ポリシーのモニタリング

Google Cloud Armor は、セキュリティ ポリシーから Cloud Monitoring にモニタリング データをエクスポートします。モニタリング指標を使用すると、ポリシーが意図したとおりに機能しているかどうかを確認することや、問題をトラブルシューティングすることが可能です。たとえば、バックエンド サービスごとにブロックまたは許可されたトラフィックを表示できます。1 つのセキュリティ ポリシー(複数のバックエンド サービスに適用できる)または 1 つのバックエンド サービスの指標をモニタリングできます。

Cloud Monitoring の事前定義されたダッシュボードに加えて、カスタム ダッシュボードの作成、アラート ポリシーの設定、Cloud Monitoring API を使用して指標に関するクエリの実行を行うことができます。

Cloud Monitoring ダッシュボードでは、対応待ちのインシデントは、構成したアラート ポリシーによって駆動されます。アラートがトリガーされると、ダッシュボードにインシデントとして表示されます。これらは、Cloud Monitoring の一般的な機能です。

Security Command Center の Cloud Monitoring ログはありません。

Cloud Monitoring の詳細については、Cloud Monitoring のドキュメントをご覧ください。

モニタリング ダッシュボードの表示

Cloud Monitoring の事前構成されたネットワーク セキュリティ ポリシー リソースダッシュボードを使用して、ポリシーごとおよびバックエンドサービスごとにステータスとリクエスト トラフィック量(許可、拒否、またはプレビュー)を監視できます。

ダッシュボードを表示する手順は次のとおりです。

  1. Google Cloud Console で [Monitoring] に移動します。
    [モニタリング] に移動
  2. [ダッシュボード]を選択してから、[ネットワーク セキュリティ ポリシー]というダッシュボードを選択します。

  3. ポリシーの名前をクリックします。

ダッシュボードにアクセスすると、右側に全体的な指標が表示されます。これには、セキュリティ ポリシーによって評価されたリクエストのリクエスト数の指標(許可、拒否、プレビュー可能、プレビュー拒否)が含まれます。指標は、プロジェクトごと、ポリシーごと、バックエンドサービスごとなど、さまざまなレベルの粒度でモニタリングできます。

ポリシー名をクリックすると、ポリシーの詳細が表示されます。

Google Cloud Armor モニタリング ダッシュボード
Google Cloud Armor モニタリング ダッシュボード(クリックして拡大)

アラート ポリシーを定義する

アラート ポリシーを作成して指標の値をモニタリングすると、条件に違反した場合に通知できます。ネットワーク セキュリティ ポリシーリソースを監視するアラート ポリシーを作成する一般的な手順を以下に示します。

  1. Google Cloud Console で [モニタリング] を選択するか、次のボタンを使用します。
    [モニタリング] に移動
  2. Monitoring のナビゲーション パネルで、 [アラート] を選択し、次に [Create Policy] を選択します。
  3. アラート ポリシー名を入力します。
  4. [Add Condition] をクリックします。
    1. [Target] ペインの設定で、モニタリングするリソースと指標を指定します。テキスト ボックスをクリックしてメニューを有効にし、リソース [Network Security Policy] を選択します。次に、指標リストから指標を選択します。
    2. アラート ポリシーの [Configuration] ペインの設定で、アラートがトリガーされるタイミングを決定します。このペインのほとんどのフィールドにはデフォルト値が入力されています。ペインのフィールドについての詳細は、アラート ポリシーのドキュメントの構成をご覧ください。
    3. [Add] をクリックします。
  5. (省略可)[Add Notification Channel] をクリックして、通知チャネルの情報を入力します。
  6. (省略可)[Documentation] をクリックして、通知メッセージに追加する情報を入力します。
  7. [保存] をクリックします。
詳細については、アラート ポリシーをご覧ください。

Cloud Monitoring のカスタム ダッシュボードの定義

ネットワーク セキュリティ ポリシー メトリックに対してカスタム Cloud Monitoring ダッシュボードを作成できます。

  1. Google Cloud Console で [Monitoring] に移動します。
    [Monitoring] に移動
  2. [ダッシュボード] > [ダッシュボードを作成] を選択します。
  3. [Add Chart] をクリックします。
  4. グラフにタイトルを付けます。
  5. 指標とフィルタを選択します。指標のリソースタイプは [Network Security Policy] です。
  6. [保存] をクリックします。

指標報告の頻度と保持

Google Cloud Armor セキュリティ ポリシーの指標は、1 分単位のバッチで Cloud Monitoring にエクスポートされます。モニタリング データは 6 週間保持されます。ダッシュボードでは、次のデフォルト間隔でデータ分析が行われます。

  • 1H(1 時間)
  • 6H(6 時間)
  • 1D(1 日)
  • 1W(1 週間)
  • 6W(6 週間)

Stackdriver Monitoring ページの右上隅にあるコントロールを使用すると、6 週間から 1 分までの任意の間隔で、分析を手動で要求できます。

Google Cloud Armor セキュリティ ポリシーのモニタリング指標

次の指標は、Google Cloud Armor セキュリティ ポリシー ダッシュボードで報告されます。

指標 説明
リクエスト数 Google Cloud Armor セキュリティ ポリシーによって処理されたリクエストの数。
プレビュー リクエスト数 プレビュー モードのルールに一致するリクエストの数。プレビュー リクエストはログに記録されますが、対応するアクションは適用されません。
すべてのリクエストは構成済みの非プレビュー ルールまたはデフォルト ルールと一致すると想定されるため、プレビュー リクエストのカウントは上記のリクエスト数指標に含まれます。

Google Cloud Armor セキュリティ ポリシーのフィルタリング ディメンション

指標は、Google Cloud Armor のセキュリティ ポリシーごとに集計されます。集計された指標は、次の項目(*)でフィルタ処理できます。

ディメンション 説明
backend_target_name トラフィックの宛先であるバックエンド ターゲット(サービス)に基づいてリクエストを追跡します。
blocked Google Cloud Armor セキュリティ ポリシー ルールによって許可またはブロックされたかどうかに基づいて、リクエストを追跡します。